  |
はてなキーワード: ワンタイムパスワードとは
某大企業に勤めてるよ!
みんな絶対に知ってる日本でトップクラスっていうかある意味トップの企業だよ!
もちろんDXをゴリゴリに推進しているし「DX」と名の入った部署まで作って本気だよ!
社内システムはもちろんDaaS(Desktop As A Service)を使ってるよ!
要するにリモートデスクトップだよ!
社内全員がDaaSを利用するんだけど負荷を抑えるためにWindowsのインデックスサーチはOFFにされてるよ!
なのでファイル検索はめちゃくちゃ遅いしOutlookのメール検索も死ぬほど遅いよ!
おまけに一人あたり20GBの容量しか使えないよ!でも基本的にメールのやりとりだからメールだけで使い切るよ!
え?使い切ったらどうするかって?もちろん、古いメールは削除だよ!
なんで20GBしか使えないのか聞いたら、「平均して20GBしか使ってない」んだって!
ってことは平均以上の半分の人は見捨てられたんだね!
スマホに入ってるmicroSDですら128GB使えるけどね!
ちなみに不正防止の観点でメール等の証跡は全部別のサーバに蓄積されているよ!社員からは見えないけどね!
あと、インデックスサーチOFFにされてるけど、結局はセレロン並の遅さだよ!
だからUSBで持ち出しても外では開けないよ!セキュアだね!DaaSだからUSB刺さらないけどね!
ちなみに暗号化の解除は社員なら了承無しで誰でもできるよ!不便だもんね!
本当に危ないファイルはzipでパスワードを独自に付ける人が多いよ!
でもほとんどの人が4桁数字しか使わないしzipにパスワード付けてるだけだから
DaaSにつなぐためにVPNを張るよ!ワンタイムパスワードで保護してるからセキュリティもバッチリ!
ちなみにこのVPNはDaaSのサーバにしか繋げないVPNだよ!
DaaSにはTLSでアクセスするんだけど、念の為VPNで更にセキュアにしてるよ!
そのせいでVPN繋ぐとトラフィックがそっちに吸い取られてインターネット通信できないよ!
キーロガー仕込まれてたとしても安心かもね!後で送信されたら一緒だけどね!
ちなみにコロナのときはVPNへのアクセス集中でみんな仕事できなくなったよ!DaaSは余裕があったけどね!
社内システムのWeb会議システムがあるからリモートでも会議可能だよ!
DaaS上でしか使えないからラグとエコーがひどくて結局現地で開催されている会議を聞くだけのツールになってるけどね!
なぜかZOOMは初期の頃に猛烈な反対にあって使用不可になったけどね!
DaaS上でしか使えないから映像はほとんど無理だし音声もエコーだらけだけどね!
だからみんな自分の携帯でログインして画面共有のために二重ログインしてるよ!
メールに添付ファイル付けるともちろんPPAP(パスワードZIP送付、パスワード送付、暗号化、プロトコル)してるよ!
exe送れないこと多いからex_にしてから送って、受け取り側でexeにして実行してもらうよ!
4,5年前はこの状態だったけど、これは流石に修正されたのかな?実際に送られたファイルを知らないからわかんないね!
定期的に訓練が実施されているよ!
「訓練が実施されるのでうっかり開いた人は報告してね」
っていうメールが事前に来るよ!親切だね!
訓練メールはだいたいWordのdocファイルが付いていて開封したらHTTPリクエストが飛ぶ仕掛けで開封したかどうかが分かるよ!
ちなみに受け取っただけなら報告はいらないらしいよ!
この時期に本当の標的型メールが来てたらどうするんですか?っていう質問の回答は未だに返ってこないね!
社員への周知がある場合は、周知ページへのリンクがメールされてくるよ!
たとえどんなに些細な周知(社長が挨拶に来ます、とか)でもリンクがメールされるよ!
リンクを踏むとIE9が開いて貧相なページが表示されるんだけど、そこにもまだ内容はないよ!
貧相なページの下に更にリンクがあって、Wordファイルがダウンロードされるよ!
Wordファイルをダウンロードして激重のDaaSで開封すると
だけ書いてあるよ!
勤務表に投入するだけじゃなくて、どういう作業をしたかの稼働までちゃんと入れるよ!
毎日15分単位で始業開始時刻と終業時刻と休憩時間を入れるよ!
ちなみに2つのシステムで業務時間に誤差があると物凄く怒られるよ!
最近知ったけど日々の業務時刻はどうでもよくて合計しか見てないらしいけどね!
信じられないぐらいチェックシートをたくさん用意して不正防止に努めてるよ!
鉛筆一本買うだけでもとんでもないチェックをしないといけないよ!
チェックが多すぎて誰もチェックしないっていうのが常態化してるよ!
あ、ダブルチェックトリプルチェックは当たり前なので、責任希薄になってやっぱり誰もチェックしないよ!
ちなみに事件は頻繁に起きてるよ!だって、肝心のシステム側がザルだからね!
チェックシートは前は紙にサインだったけどペーパーレス化が進んだからPDF保存になったよ!
おまけにファイルは暗号化されちゃうので検索で引っかからないよ!
ファイル名で検索するしかないから、ファイル名を間違えてると内容が合ってても後ですごく困るよ!
あと会計に少しでも関わるものは絶対にペーパーレスにならないよ!
領収書は原本いらなくなったって何回言っても原本保管から変わってくれないよ!
飛行機の領収書とかPDFをダウンロードしてきて印刷して保管してるよ!
肝心の半券は不要だからやろうと思えばPDFダウンロードした後にキャンセルできるけどね!
業務で使うサーバにログインするときは共通アカウント・共通パスワードが常識だよ!
だいたいのパスワードはアカウント名+1234みたいな感じだよ!
この前、公開鍵設置して秘密鍵でログインしようとしたらなぜか弾かれてて、よく見たらわざわざOFFにしてあったよ!
公開鍵認証の話をしたら「は?なにそれ?」みたいな顔をされたよ!
あ、もちろんパスワードの定期変更は推奨されてるよ!
なんと今流行りのチャットコミュニケーションツールが導入されたよ!
社内のDaaSからはアクセスできるけど、社外からはアクセスできないほどセキュアだよ!
でもでも、スマホアプリなら社外からでもアクセスできるよ!よくバグで落ちてるけどね!
今のようなことを情シスに言っても何も変わらないよ!だって、ほとんど素人だからね!
3年で人事異動でメンバーが入れ替わるから、それまで問題を起こさないために何もしないよ!
こんな感じでDXを進めてるよ!
もちろん客先では「うちは最先端のDXやってます」って言ってるよ!
胸が痛いね!
フェイクをちょっと混ぜといてよかったよ!本当は「社長が挨拶に来る」じゃなくて副社長だよ!
割と酔った勢いで書いたから今読み返したら意味わからんだろう内容があるのはごめんよ!
教えられるわけないよ!
ごめんね!そうだね!ガチDX施策のクソさも書きたいけどさすがに身バレするね!
本当に書きたかったのは社内システムこんなクソなのにもっとDXしよう!って言ってるシュールさと
社外的に「DXしましょう!うちはプロですから!」って言ってるとこだよ!
もはや全部変えると予算がつかないからこんなことになってるよ!
でもたぶん全部MS社にしてOffice 365とOneDriveにしたら問題の8割は解決しそうだよ!
この辺のシステム請けてるのがそもそもグループ会社ってのが日本の一般的な大企業だよ!
そこで働いてる人はおじいちゃんばっかりで若者はみんな派遣だよ!
この辺のシステムが最適化されると派遣が切られちゃうから下請けはたぶん喜んでるよ!
みんなの会社はこんなにひどくないと信じてるけど
俺はまぁラディカルというか原理主義者なので、本人確認なんてものはID+パスワードでいいと思っているわけ。
でも割とよく世間では、ID+パスだけだと本人の確認になっていないとか言うアホ理論がまかり通っていて、そんなわけねーだろということを証明します。
他要素認証を使えば本人確認になる、という説がまことしやかにまかり通っているけど、そんなのじゃ「本人確認」にはなりません。
例えばメジャーなスマホを使った確認を例に取ると、ID+パス入力だけじゃなく、事前登録したスマホに入っている暗号アプリで、自動生成した暗号を入力すると、ID+パス+スマホの所持が揃ったので本人です。って感じで認証するんだけど、これスマホ奪われてたら誰でもできるよな。
確率低い?とはいえ本人意外もできるっていう点だと、ID+パスワードと同じで「本人を確認」したことにはならんだろう。
同じことはEメールへワンタイムパスワードを送付して、ID+パスワード+ワンタイムパスワードで認証する方法もだけど、これも、メールアドレスの権利を確認してるだけど、それが奪われていたら、本人以外でも利用できる。
事前に物理的な乱数表もドングルもマイナンバーカードつかった認証も、奪われれば本人以外が認証突破できるので、「本人確認」できるとは限らない。
ID+パスワードより強度は上がるけど、それは認証の強度が上がったと言うべきであり「本人確認」できるとか、いいきっちゃうのは、本質を知らないで適当にセキュリティ語ってて、だるい。
じゃあ生体認証使えば良いという。感じもするかもしれないけど、指紋のコピーとか簡単にできます。
顔認証も難しいかもしれないけど頑張れば突破できそうだし、何なら本人の指やら首を切り落とせば、突破できると思うので、これも「本人確認」したことになるとは限らない。双子とかクローン使うこともできるしな。
例えば友人とか、本人の許可を得て代理としてシステムやサービスを操作する必要がある場面ってあるわけで、
そういう場面だとID+パスワードだけ知っていれば代理操作をすることができるわけです。
あ、お前らは友達居なかったな。でも大丈夫、ボットサービスとかに代理に処理をしてもらうことを考えれば同じで、
ボットサービスに操作してもらいたいサービスのID+パスを登録すれば、それだけで代理に操作してもらえる。
これが、多要素認証になると、代理操作出来ないくなる。「本人」が操作を代理させる意志をもっていても、端末を友達に貸し与えて四六時中持ち歩かせるわけにもいかないし、よくわからねーボットサービスに指紋情報やら、生体認証を登録するのやりすぎてる。
セキュリティ上がってるとか喜んでるけど、それは裏を返せば使い勝手が下がっているとも言えるわけです。
そこまで使い勝手が下がってて、じゃあそれに報いるだけのセキュリティ上昇が期待できるかと言われれば、前述のように本気を出せば他人がそのセキュリティを突破することはできるわけで、基本的にはコスパ悪い。
もちろん医療とか金融とかクリティカルな場面では使うべきだと思うけど、何でもかんでも多要素認証、生体認証、みたいなノリは気が狂ってるとしか言いようがない。
あとセキュリティが上がっているだけで「本人確認」ではない。ボットにスマホを預けるとかメールを読み取る権利を渡せば実現できる。くっそめんどくさいし危険だけどできる。本人意外が操作できるってことは「本人確認」として機能していない証拠です。
はい、出来ません。限りなく本人っぽいです。ということまでしかわかりません。
仮に対面で人間が認証するって事になっても、詐欺師の人は整形もすれば書類も偽造で取り揃えます。
軽々しく「本人確認」とか言うな。本人って誰が判定するんだよ。まわりか?
まわりが勝手に「本人」であることを認証したり確認したとしてだよ、その「本人」が記憶喪失になって、「本人」であることを拒絶したのならそいつは本人なのか?それとも別人か?
答えろ!
| 時間 | 記事数 | 文字数 | 文字数平均 | 文字数中央値 |
|---|---|---|---|---|
| 00 | 63 | 6841 | 108.6 | 45 |
| 01 | 43 | 2986 | 69.4 | 35 |
| 02 | 75 | 9293 | 123.9 | 36 |
| 03 | 30 | 2426 | 80.9 | 27 |
| 04 | 27 | 3021 | 111.9 | 49 |
| 05 | 15 | 2695 | 179.7 | 71 |
| 06 | 27 | 4365 | 161.7 | 76 |
| 07 | 63 | 6945 | 110.2 | 42 |
| 08 | 60 | 6444 | 107.4 | 45 |
| 09 | 89 | 12415 | 139.5 | 58 |
| 10 | 163 | 9448 | 58.0 | 35 |
| 11 | 137 | 12058 | 88.0 | 48 |
| 12 | 169 | 11416 | 67.6 | 35 |
| 13 | 118 | 13971 | 118.4 | 55.5 |
| 14 | 77 | 8987 | 116.7 | 45 |
| 15 | 100 | 9819 | 98.2 | 41 |
| 16 | 92 | 7464 | 81.1 | 35.5 |
| 17 | 84 | 5935 | 70.7 | 34.5 |
| 18 | 144 | 9780 | 67.9 | 35 |
| 19 | 110 | 13705 | 124.6 | 43 |
| 20 | 118 | 17251 | 146.2 | 27 |
| 21 | 168 | 29757 | 177.1 | 38 |
| 22 | 148 | 21159 | 143.0 | 30 |
| 23 | 128 | 13714 | 107.1 | 31 |
| 1日 | 2248 | 241895 | 107.6 | 39 |
女性棋士(3), 天一(8), ロックフェラー(3), コモロ(6), tumblr.(3), PUDO(3), クリスマスツリー(3), ロ座(4), 競走(4), ブルートフォース(3), Map(3), ワンタイムパスワード(3), 大麻(19), 出生(12), 菅(10), 最高裁(6), 盗ま(7), 口座(11), タワマン(6), 銀行(19), 税(9), 手足(5), ネタバレ(11), 高学歴(10), 天(8), 接続(7), 支持率(8), 増税(13), 消費税(22), 反(12), 上位(12), 登録(17), 支え(10), 違法(10), 生理(9), 把握(11), ちんぽ(9), 運用(10)
■夫が赤ちゃん過ぎてキモい /20200911024025(41), ■3大「季節限定でなく年中売れや」食べ物 /20200910180518(14), ■「レンジでチンする」みたいな言い回し 教えて /20190910220907(14), ■総理名言集 /20200910213757(13), ■インターネットキッズに対する「OOしてそう」という罵倒が好き /20200911140808(11), ■FAX問題の件 /20200911083630(10), ■女は「でも」って反論してくる男が大嫌い /20200911010118(9), ■はてブを使わなくなってみて、このサービスがどれだけ偏ってるか実感した /20200911111852(9), ■買い物バッグの中で寿司パックが倒れる /20200911183138(9), ■天一好きな人いる? /20200910175449(8), ■子供に対するネットリテラシー教育について /20200911082344(8), ■騎士を紳士に替えると面白い言葉 /20200911181547(8), ■立憲民主党もしんでくれ /20200911210218(7), ■ブコメ、すっかり無意味になったな /20200910011129(6), ■腐女子のお気持ち長文書いてみたい /20200910105134(6), ■まともな政策が出来ないのか /20200911103914(6), ■はてブ意味わかんねえよ!!!! /20200910165303(5), (タイトル不明) /20200911142405(5), ■VTuber 楠栞桜さんのファンによる言論統制もどきへのお気持ち /20200911131435(5), ■まさか優生思想反対派って競馬の血統を全否定? /20200911110245(5), ■大麻について /20200911210917(5)
ドコモ口座やxxPayなどの現金化可能なポイントサービスを提供するには資金移動業者としての登録が必要。そして資金移動業として登録すると犯罪収益移転防止法の制約を受け、利用者の本人確認義務が課せられる。
例えば、PayPayでは免許証画像をアップロードさせて独自の本人確認が可能となっている。ただし、この方式は免許証の真贋判定などを行う必要があり、難易度が高いので以下で説明する通り外部に依拠するケースも多い。
ドコモ口座で狙われたケース。現金をチャージするために銀行口座との口座振替契約が必要になることから、各銀行では口座振替と一緒に利用者の本人確認もしてあげますよというサービスを提供している。そのサービスを利用して本人確認そのものを銀行に依拠する。
本人確認を依拠された銀行側の本人認証手段が比較的突破されやすいものだった。資金移動を伴う取引をWebで実行する場合はワンタイムパスワードをはじめとする2要素認証を行うことが一般的であるがそれをしていなかった。
銀行に本人確認を依拠している資金移動業者はたくさんあるのになぜドコモ口座が狙われたのか。
なお、いずれの理由も犯罪者にとってハードル(実行の面倒くささ)があるというだけで、犯罪者が手間をかければ他の事業者でも突破される恐れがある。本質的には銀行側の本人認証が厳重であれば防げたものなので、我々一般人はセキュリティ意識の高い銀行を選んで防衛しよう。
フリーメールで簡単に口座が作れてしまう。PayPayやLINEPayなどはアカウント開設時にSMS認証があるため一定のハードル(犯罪者にとっての面倒さ)がある。
ドコモ口座から直接ATM出金ができるため、現金化がしやすい。他のxxPay業者は銀行口座にお金を戻す現金化手段しか提供していない場合が多いが、犯罪者にとっては銀行口座を用意するのは一定のハードル(面倒くささ)がある。
(届出電話番号先に自動音声によるワンタイムパスワード発行)
(更新:2020/09/09 18:20 ゆうちょ銀行で被害確認 )
(更新:2020/09/10 00:00予定 全行でドコモ口座への新規登録停止 )
(更新:2020/09/10 09:00 みずほ銀行修正 )
ワンタイムパスワードや乱数表カードで二段階三段階認証している所なら大丈夫。
基本、「その端末外のもの」と「端末内」の情報を組み合わせて認証するものであれば、安全度合いはかなり上がる。
法人口座であれば、更に別の設定が複数あるし、銀行専用端末を用意していれば、なおさら安全。
以前は信頼できなかった。
使い勝手も悪かった。
利用していない遠方の金融機関で
「「最新バージョンで利用して下さい」のような警告が出たら、
OK も キャンセル も押さずに 右上の Xボタン をクリックして下さい」
と案内があると(警告無視推奨)、
急場しのぎには仕方ないのだろうが、1年以上対応そのまま。
ワンタイムパスワードや2段階認証など、
以前の体験や見聞により、金融機関のネット利用手続きには不安が大きい。
令和 2020 年代に入り、悪い病も流行し、ネットで済むなら利用したい。
しかし怖い。
信頼できないシステムを使いたくない。
https://anond.hatelabo.jp/20200417230216
パスワード忘れたからSMSにワンタイムパスワードを送ってもらった。
そしたらログインできたのは全く関係のない海外のアカウント、多分スペイン語圏の男性の。
めっちゃびっくりしてすぐログアウトした。なんでこんなこと起こるんだよ。
自分の携帯電話番号はもちろん日本の番号で、Facebookへの入力は国番号(+81)からちゃんと入れている。
そういえばたまにスペイン語のワンタイムパスワード発行のSMSがちょくちょく届いてたのを思い出した。
この番号は去年新規で契約したものだから、再割当ての番号の可能性が高い。
以前その男性は日本に居住していて、この番号を使っていたってことなのかなぁ。
それにしても気味が悪いし、その男性も困っていると思う。
でもどうしたらいんだろ。
SMS認証はセキュリティ的に強いと思っていたけど、番号の再割り当てがあることを考えるとそうでもないと思った。
メールアドレス経由(とメアドのワンタイムパスワード)で自分の本来のアカウントにログインできた。
そのアカウントにはそもそも電話番号は登録してなかったみたい。(設定から確認できないので)
IDはどうなってんだよ
Facebookは電話番号を登録しておけばそれだけでログインできる。
ワンタイムパスワード送ればIDとかいらない。
そもそも「久しぶりにログインしようとしたFacebook」に「去年契約した携帯の電話番号」が登録されているわけないのに、何故その番号にSMSが送れると思ったんだ?? まさかSMS送る先の番号をその場で入力するの?
ネットセキュリティっても、映画みたいなハッキングなんて実際は殆ど無くて、実際はソーシャルハッキングばっか
確かに、ジジババに「パスワード貼るな」「誕生日とかゾロ目にするな」「ワンタイムパスワード」「変なメール開くな」「スタバで画面開きっぱなしにするな」「変な無料WiFiつなぐな」言っても聞かないだろうし、そういう上役から会社のセキュリティ超えられても護られそうだからな
そんな馬鹿は会長でも退職金無しで即クビが可能なら出来そう。でも経団連の会長室でやっとメール使い始めたし、USB知らない大臣居るしな。アイツらまだエロ本で抜いてるの?LINEじゃなくて店に通って口説いてるの?まだ芸者レベル抱いているの?
